【華為云Stack】【大架光臨】第8期：“云聯(lián)邦”構(gòu)建連云成片、無(wú)縫混合的一朵云

“一朵云”難題

混合云和多云已經(jīng)是IT部署的新常態(tài)。很多企業(yè)里，業(yè)務(wù)會(huì)分別部署在公有云和私有云上，甚至多個(gè)私有云中，而多個(gè)平臺(tái)和業(yè)務(wù)從管理、部署、協(xié)同等方面是相對(duì)割裂的。這種多云管理的割裂，對(duì)企業(yè)而言就是在建設(shè)煙囪式的云，無(wú)法滿足IT高效管理和企業(yè)業(yè)務(wù)發(fā)展的要求。

需要一種技術(shù)，幫助企業(yè)需要建立規(guī)模更大服務(wù)更加豐富的云來(lái)支撐企業(yè)業(yè)務(wù)的持續(xù)發(fā)展。理想情況下，企業(yè)建立一朵大云，通過(guò)業(yè)務(wù)遷移、數(shù)據(jù)割接等方式將現(xiàn)有各級(jí)組織的云收編，然而具體到實(shí)施層面卻很難落地，究其原因，概括起來(lái)主要有下面三點(diǎn)：

1. 業(yè)務(wù)問(wèn)題：現(xiàn)有的云平臺(tái)上已經(jīng)運(yùn)行了很多業(yè)務(wù)應(yīng)用，而業(yè)務(wù)遷移、數(shù)據(jù)割接會(huì)導(dǎo)致業(yè)務(wù)應(yīng)用停機(jī)斷服，對(duì)企業(yè)業(yè)務(wù)發(fā)展可能產(chǎn)生不利的影響；

2. 技術(shù)問(wèn)題：現(xiàn)有云平臺(tái)的技術(shù)棧層次不齊，跨技術(shù)棧的業(yè)務(wù)應(yīng)用遷移難以實(shí)現(xiàn)，即使是相同廠商的不同版本的云平臺(tái)，也需要借助專門的遷移工具來(lái)實(shí)施，遷移時(shí)間長(zhǎng)且有一定的出錯(cuò)概率；

3. 組織問(wèn)題：現(xiàn)有云平臺(tái)的運(yùn)營(yíng)運(yùn)維組織各不相同，難以統(tǒng)一到一個(gè)集中組織來(lái)負(fù)責(zé)企業(yè)內(nèi)全部的云平臺(tái)。

為幫助企業(yè)加速進(jìn)行數(shù)字化轉(zhuǎn)型，華為云Stack通過(guò)云聯(lián)邦技術(shù)來(lái)幫助企業(yè)克服上述困難，以較低的成本實(shí)現(xiàn)無(wú)縫混合云，企業(yè)內(nèi)連云成片，資源共享，達(dá)成降本增效的目的。

云聯(lián)邦的三個(gè)黑科技

針對(duì)企業(yè)中現(xiàn)有的多朵獨(dú)立自治的云，華為云聯(lián)邦技術(shù)并不改變現(xiàn)有云的歸屬權(quán)，也不改變當(dāng)前的運(yùn)營(yíng)運(yùn)維和使用方式，在現(xiàn)有云上運(yùn)行的業(yè)務(wù)應(yīng)用仍然由現(xiàn)有的組織或部門負(fù)責(zé)，無(wú)需進(jìn)行復(fù)雜的遷移操作。那么云聯(lián)邦是如何實(shí)現(xiàn)將多朵云連云成片的呢？我們以多套華為云Stack協(xié)同為例，為大家介紹以下三個(gè)關(guān)鍵技術(shù)：

一、 聯(lián)邦認(rèn)證

要將多個(gè)分散的云聯(lián)接起來(lái)，首先要解決的問(wèn)題就是用戶認(rèn)證和訪問(wèn)權(quán)限的問(wèn)題。通過(guò)基于SAML 2.0的聯(lián)邦認(rèn)證技術(shù)，可以讓原本屬于不同云平臺(tái)的用戶，能夠在同一個(gè)云平臺(tái)上被正確識(shí)別，并獲得對(duì)應(yīng)的身份和權(quán)限，從而實(shí)現(xiàn)一次登錄就可以使用多個(gè)云平臺(tái)資源的目的。

如上圖所示，部門一的云平臺(tái)用戶張三，登錄本部門的云平臺(tái)A，再訪問(wèn)部門二的云平臺(tái)B，如果云平臺(tái)A與B之間建立了聯(lián)邦認(rèn)證，那么張三就可以無(wú)需二次登錄到云平臺(tái)B就可以訪問(wèn)云平臺(tái)B的云服務(wù)和資源。

通過(guò)聯(lián)邦認(rèn)證，使得不同企業(yè)組織的人員可以使用本組織的云平臺(tái)賬號(hào)自由訪問(wèn)和使用其他組織的云平臺(tái)，實(shí)現(xiàn)企業(yè)內(nèi)不同組織的云平臺(tái)的資源共享。

二、?聯(lián)邦目錄

雖然連云成片的目的是為了將云平臺(tái)的資源進(jìn)行共享，然而具體到某個(gè)部門的云平臺(tái)，并不是所有的云服務(wù)都可以被共享出來(lái)供其他部門使用，因此這個(gè)時(shí)候就需要建立所謂聯(lián)邦目錄。每個(gè)云平臺(tái)都可以建立多個(gè)聯(lián)邦目錄，為每一個(gè)聯(lián)邦關(guān)系設(shè)定關(guān)聯(lián)的聯(lián)邦目錄，其中包含允許聯(lián)邦訪問(wèn)的云服務(wù)。

如上圖所示，部門一的云平臺(tái)A和部門二的云平臺(tái)B建立聯(lián)邦關(guān)系，云平臺(tái)A的用戶可以共享使用云平臺(tái)B的云服務(wù)，此時(shí)云平臺(tái)B的管理員可以在云平臺(tái)B上建立聯(lián)邦目錄，允許云平臺(tái)A的用戶訪問(wèn)指定范圍的云服務(wù)。云平臺(tái)A通過(guò)聯(lián)邦關(guān)系讀取到云平臺(tái)B設(shè)定的聯(lián)邦目錄，將其映射為云平臺(tái)A的一個(gè)遠(yuǎn)端Region，這樣云平臺(tái)A的用戶就可以像使用云平臺(tái)A的本地云服務(wù)一樣使用云平臺(tái)B的云服務(wù)，無(wú)需關(guān)心云服務(wù)的實(shí)際部署位置。

聯(lián)邦目錄使得部門可以根據(jù)自身云平臺(tái)的能力以及聯(lián)邦的需求方來(lái)設(shè)定和發(fā)布聯(lián)邦服務(wù)目錄，避免共享云服務(wù)范圍的擴(kuò)大化。對(duì)于一個(gè)大型集團(tuán)型企業(yè)來(lái)說(shuō)，更好的做法是建立一個(gè)大規(guī)模并且具有豐富云服務(wù)的云平臺(tái)，通過(guò)聯(lián)邦目錄將集團(tuán)云平臺(tái)的全部云服務(wù)能力注入到各級(jí)組織的現(xiàn)有云平臺(tái)中，同時(shí)鼓勵(lì)和牽引各級(jí)組織充分使用集團(tuán)云平臺(tái)的服務(wù)能力，從而逐步將各級(jí)組織的業(yè)務(wù)應(yīng)用平滑遷移到集團(tuán)云平臺(tái)之上。

三、聯(lián)邦流程

企業(yè)中各種服務(wù)的申請(qǐng)和使用都離不開(kāi)相應(yīng)的流程，那么對(duì)于申請(qǐng)和使用云聯(lián)邦共享的云服務(wù)更是如此。云服務(wù)的管控流程通常分為三個(gè)部分：事前預(yù)算（云服務(wù)配額）、過(guò)程控制（申請(qǐng)審批）、和事后審計(jì)（云服務(wù)計(jì)量）。對(duì)于云平臺(tái)本地服務(wù)而言，上述流程控制都在本地完成，但是對(duì)于通過(guò)云聯(lián)邦共享引入的云服務(wù)，技術(shù)原理上有所不同。

如上圖所示，部門一的云平臺(tái)A與部門二的云平臺(tái)B建立聯(lián)邦關(guān)系，共享云平臺(tái)B的云服務(wù)，那么云平臺(tái)A的用戶在申請(qǐng)?jiān)破脚_(tái)B的聯(lián)邦目錄中共享的云服務(wù)S之前，首先必須由云平臺(tái)B的管理員在云平臺(tái)B配置可被共享的云服務(wù)S的配額，當(dāng)云平臺(tái)A檢查到云服務(wù)S的可用配額大于申請(qǐng)量的時(shí)候，才允許提交申請(qǐng)。提交的申請(qǐng)跟其他云平臺(tái)A的本地云服務(wù)申請(qǐng)一樣，經(jīng)過(guò)在云平臺(tái)A預(yù)配置的申請(qǐng)審批流程，才真正在云平臺(tái)B分配出對(duì)應(yīng)的云資源。那么在使用云服務(wù)S過(guò)程中產(chǎn)生的云服務(wù)計(jì)量數(shù)據(jù)，將被云平臺(tái)B采集并同步到云平臺(tái)A，兩個(gè)云平臺(tái)的管理員均可以查看到共享的云服務(wù)S的計(jì)量統(tǒng)計(jì)數(shù)據(jù)。

聯(lián)邦流程使得在企業(yè)內(nèi)通過(guò)聯(lián)邦共享的云服務(wù)與本地云平臺(tái)上的云服務(wù)一樣受到標(biāo)準(zhǔn)化的云服務(wù)管控流程，滿足在企業(yè)內(nèi)申請(qǐng)和使用云服務(wù)的規(guī)范性要求。

云聯(lián)邦實(shí)踐

通過(guò)華為云平臺(tái)管理系統(tǒng)ManageOne來(lái)建立多朵云的聯(lián)邦，不僅僅實(shí)現(xiàn)了上述聯(lián)邦認(rèn)證、聯(lián)邦目錄、聯(lián)邦流程的關(guān)鍵能力，同時(shí)還在多級(jí)組織管理、一站式云資源運(yùn)維監(jiān)控上有提供了更多的能力。華為云聯(lián)邦技術(shù)不僅適用于企業(yè)私有云和公有云的混合管理場(chǎng)景，也適用于大中型企業(yè)分階段建云用云的場(chǎng)景，為企業(yè)和組織提供多云一云的管理體驗(yàn)，為加速企業(yè)數(shù)字化轉(zhuǎn)型鋪平道路。

基于云聯(lián)邦，華為云Stack幫助中國(guó)人壽構(gòu)建了一朵智慧保險(xiǎn)云。通過(guò)使用公有云彈性公網(wǎng)IP和CDN，每年節(jié)省約3000萬(wàn)元，降低了70%的網(wǎng)絡(luò)成本。公有云承載活動(dòng)平臺(tái)前端應(yīng)用，彈性擴(kuò)容敏捷快速，滿足6.16客戶節(jié)、雙11、雙12等促銷節(jié)點(diǎn)期間促銷業(yè)務(wù)訴求，保障全年10W+次營(yíng)銷活動(dòng)。非活動(dòng)期間釋放不必要資源，節(jié)省了30%以上IT開(kāi)支。

基于云聯(lián)邦，華為云Stack為某大型制造集團(tuán)多個(gè)云平臺(tái)之間實(shí)現(xiàn)聯(lián)動(dòng)。集團(tuán)總部云部署了豐富的云服務(wù)，且資源有結(jié)余，而分支云僅部署ECS等基礎(chǔ)服務(wù)滿足日常辦公OA訴求。當(dāng)集團(tuán)分支云進(jìn)行業(yè)務(wù)創(chuàng)新，需要使用GPU云主機(jī)、大數(shù)據(jù)、AI等能力時(shí)，無(wú)需自建，通過(guò)云聯(lián)邦一鍵借用總部資源即可，避免企業(yè)重復(fù)建設(shè)，減少投資。

云上管理 華為云Stack 架構(gòu)設(shè)計(jì) 混合云

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。